Śledzenie zagrożeń w sieci Uaktywnienie subdomen

Transkrypt

1 ISSN NR1/2010 Śledzenie zagrożeń w sieci Uaktywnienie subdomen Ethernetowa rewolucja Streaming wideo w Polska.pl

2 3 WYDARZENIA MICHAŁ CHRZANOWSKI DYREKTOR NASK 3 Polski rejestr przoduje 4 NASK laureatem Teraz Polska 6 Akademia NASK 8 Nowości w ofercie usługowej 10 Jak bezpiecznie surfować 13 USŁUGI NASK liderem innowacji 13 Ethernetowa rewolucja 16 BEZPIECZEŃSTWO 16 Śledzenie zagrożeń w sieci INTERNET 24 Streaming wideo w Polska.pl 27 DOMENY 18 Uaktywnienie subdomen 21 Wirtualizacja w Dziale Domen BADANIA 27 Wspomaganie zarządzania kryzysowego NASK zmienia się tak, jak zmianie ulega świat Internetu i telekomunikacji. Od 1 października 2010 roku NASK stał się instytutem badawczym. Zmiany ustawowe otwierają przed nami nowe szanse. Staramy się sprostać tym wyzwaniom. Rozszerzamy naszą działalność naukową, prowadzimy wiele projektów badawczych. Z powodzeniem działamy na rynku komercyjnym, świadcząc szeroki wachlarz usług z dziedziny telekomunikacji. Polski rejestr domen prowadzony przez NASK jest jednym z najlepszych w Europie, a w domenie.pl zarejestrowanych jest już prawie 2 mln adresów. NASK jest liderem w dziedzinie bezpieczeństwa Internetu. W 2010 roku zostaliśmy uhonorowani godłem Teraz Polska w prestiżowej kategorii Innowacje. Uznanie jury uzyskał system ARAKIS-GOV skutecznie chroniący zasoby wielu najważniejszych polskich instytucji. Warto podkreślić, iż to rozwiązanie przygotowywane było przy udziale specjalistów między innymi z zespołu CERT Polska uznawanego za jeden z najlepszych na świecie, a działającego w ramach NASK. Nie zapominamy, że bezpieczeństwo Internetu to także dbałość o bezpieczne korzystanie z sieci przez najmłodszych. Od przeszło pięciu lat realizujemy program Komisji Europejskiej Safer Internet, prowadzimy hotline zbierający informacje o nielegalnych treściach w sieci. Naszą nową inicjatywą jest Akademia NASK. Oferuje ona kursy i szkolenia, między innymi z dziedziny bezpieczeństwa Internetu, informatyki i telekomunikacji, a także bezpiecznego korzystania z Internetu i edukacji medialnej. Prawie 20 lat temu podłączyliśmy Polskę do sieci. Dziś chcemy być liderem w kreowaniu innowacyjnych rozwiązań technologicznych. Michał Chrzanowski 2 B I U L E T Y N NASK

3 Wysokie tempo wzrostu WYDARZENIA Polski rejestr przoduje Podsumowując pierwszą połowę roku 2010, z satysfakcją możemy stwierdzić, że charakteryzowała się ona bardzo dynamicznym rozwojem polskiego rynku domen internetowych. Co więcej, Polska przoduje wśród 10 największych europejskich rejestrów krajowych pod względem dynamiki przyrostu liczby nazw domen w DNS. Pierwsze półrocze 2010 roku zostało zamknięte imponującą liczbą aktywnych nazw domeny.pl. Oznacza to przyrost netto aktywnych nazw domeny utrzymywanych w DNS o ponad w porównaniu do końca roku Pragniemy podkreślić, że dynamika przyrostu liczby nazw domeny.pl jest znacznie wyższa niż w pozostałych krajach Unii Europejskiej. W ujęciu rocznym wynosi 28 procent, podczas gdy w zajmującej drugie miejsce Francji wartość ta kształtuje się na poziomie 21 proc. Kolejne europejskie rejestry notują znacznie niższe przyrosty, holenderski 14 proc., a belgijski i włoski po 13 proc. Ten niezwykle wysoki przyrost zawdzięczamy przede wszystkim dużej liczbie nowych rejestracji. W ciągu pierwszej połowy roku zostało zarejestrowanych powyżej nowych nazw domeny.pl. Daje to średnią liczbę 2886 rejestracji na dzień. Drugim bardzo ważnym czynnikiem wpływającym na przyrost nazw domeny.pl w DNS jest liczba odnowień, która w roku 2010 zaczęła wykazywać tendencję wzrostową. Pod koniec drugiego kwartału 2010 r. wskaźnik odnowień osiągnął 59 proc. Pierwsze półrocze 2010 r. było także pomyślne, jeśli chodzi o zainteresowanie programem partnerskim NASK. Podpisaliśmy 19 nowych umów, w tym aż 8 z podmiotami zagranicznymi. Świadczy to o rosnącej popularności nazw domeny.pl również poza granicami Polski. /ks/.es.dk.de.se.be.fr.it.nl.uk.pl 0% 5% 10% 15% 20% 25% 30% Dynamika przyrostu liczby nazw w DND w europejskich cctld, rok do roku B I U L E T Y N NASK 3

4 Zdobywcy godła promocyjnego NASK laureatem Teraz Polska NASK i ABW zostały tegorocznymi laureatami konkursu Teraz Polska w kategorii innowacje za system detekcji i wczesnego ostrzegania o zagrożeniach bezpieczeństwa teleinformatycznego sieci administracji państwa ARAKIS-GOV. szywych alarmów. Konstrukcja algorytmów sprawia, że ARAKIS potrafi wykrywać zagrożenia niezależnie od ich ciągłej ewolucji. ARAKIS-GOV jest wspólnym przedsięwzięciem zrealizowanym przez Departament Bezpieczeństwa Teleinformatycznego ABW i Zespół CERT Polska działający w NASK. Jego podstawę stanowi wcześniejszy projekt pod nazwą ARAKIS (Agregacja, Analiza i Klasyfikacja Incydentów Sieciowych) opracowany przez CERT Polska. ARAKIS to unikalny system wczesnego ostrzegania, który w sposób zautomatyzowany wykrywa i opisuje nowe zagrożenia w sieci. Zadania te realizuje za pomocą nowatorskich algorytmów wykorzystujących techniki maszyn uczących się. System umożliwia przetwarzanie dużej ilości danych przy zachowaniu niskiego współczynnika fał- Wykonawcy systemu NASK (Naukowa i Akademicka Sieć Komputerowa) jest ABW (Agencja Bezpieczeństwa Wewnętrznego) jest powołana do ochrony porządku konstytucyjnego Rzeczpospolitej Polskiej. Odpowiada m.in. za ochronę kluczowych systemów i sieci teleinformatycznych państwa. W 2008 r. w strukturze Departamentu Bezpieczeństwa Teleinformatycznego ABW powołano rządowy zespół reagowania CERT.GOV.PL. Jednym z jego zadań jest dalsze wdrożenie ARAKIS-GOV i bieżący nadzór nad systemem. instytutem badawczym prowadzącym działalność naukową i wdrożeniową w dziedzinie rozwoju usług teleinformatycznych i systemów bezpieczeństwa ICT. W NASK od 1996 r. działa zespół CERT Polska zajmujący się obsługą incydentów naruszających bezpieczeństwo sieci. ARAKIS to jeden z efektów prac badawczo-wdrożeniowych zespołu CERT Polska. ARAKIS-GOV zabezpiecza sieci teleinformatyczne, uzupełniając działanie standardowych systemów ochrony sieci, takich jak firewall, antywirus czy systemy wykrywania włamań. Ze względu na swoją specyfikę jest stosowany wspólnie z tymi zabezpieczeniami. Unikalną cechą systemu jest to, że nie monitoruje on treści informacji wymienianych przez chronioną instytucję z siecią Internet. Sondy systemu instalowane są poza chronioną siecią wewnętrzną instytucji po stronie sieci Internet. Użytkownik ARAKIS-GOV uzyskuje informację na temat nowych zagrożeń globalnych pojawiających się w sieci Internet, m.in. nowo wykrytych samopropagujących się zagrożeń typu worm (robak sieciowy), nowych typów ataków obserwowanych z poziomu dużej liczby lokalizacji, trendów aktywności ruchu sieciowego na poszczególnych portach i trendów aktywności wirusów rozsyłanych pocztą elektroniczną. ARAKIS-GOV dostarcza też informacji na temat zagrożeń lokalnych związanych z konkretną, chronioną lokalizacją, w tym braku aktualnych szczepionek antywirusowych zainfekowanych komputerów w sieci wewnętrznej, nieszczelnej konfiguracji brzegowych systemów zaporowych czy prób skanowania publicznej przestrzeni adresowej zarówno z Internetu, jak i z sieci wewnętrznej. Obecnie sensory systemu zainstalowane są w ponad 60 urzędach szczebla centralnego, administracji terenowej oraz samorządowej. 4 B I U L E T Y NNASK /mb/

5 Nowa monografia WYDARZENIA Naukowcy z NASK publikują W 2009 roku ukazała się praca zbiorowa Programowanie równoległe i rozproszone pod redakcją A ndrzeja Karbowskiego i Ew y Niewiadomskiej-Szynkiewicz poświęcona zagadnieniom programowania równoległego i rozproszonego. Autorami książki wydanej przez Oficynę Wydawniczą PW są pracownicy Pionu Naukowego NASK i Politechniki Warszawskiej. Problematyka przetwarzania równoległego i rozproszonego stanowi obecnie bardzo ważny obszar badań naukowych i zastosowań praktycznych. Zadecydował o tym przede wszystkim ogromny postęp w zakresie sprzętu komputerowego obec- Programowanie równoległe i rozproszone Praca zbiorowa pod redakcją Andrzeja Karbowskiego i Ewy Niewiadomskiej-Szynkiewicz Oficyna Wydawnicza PW nie większość komputerów osobistych to już maszyny równoległe. mentacji oraz analizą poprawności. Książka jest przeznaczona dla pracowników naukowych różnych specjalności Tematem książki jest wykorzystanie rozwiązujących duże zada- maszyn wieloprocesorowych oraz nia obliczeniowe, pracowników firm sieci maszyn (klastrów lub gridów) zajmujących się budową złożonych do rozwiązywania złożonych zadań systemów informatycznych, studentów obliczeniowych. Praca jest monografią zawierającą trzy zasadnicze wątki dotyczące wstępnych definicji i pojęć, narzędzi programistycznych oraz algorytmów i metod obliczeniowych. Omawiane są w niej nowe architektury sprzętowe do realizacji studiów magisterskich i dok- toranckich na kierunkach informatycznych. Może być również pożytecznym źródłem informacji dla osób zainteresowanych zdobyciem wiedzy w dziedzinie mechanizmów obliczeń równoległych i rozproszonych, miary efektywności obliczeń zrównoleglania obliczeń, nowoczesnych metod numerycznych równoległych, a także podstawowe oraz ich realizacji na maszynach paradygmaty programowania równoległego. Praca zawiera m.in. szczegółowe opisy mechanizmów i narzędzi wielordzeniowych, wieloprocesorowych i w sieciach komputerów. Jest programowania współbieżnego przewodnikiem wystarczającym oraz narzędzi służących do realizacji zdalnych wywołań (architektura klient-serwer). Prezentowane do samodzielnego pisania aplikacji współbieżnych, równoległych i rozproszonych działających w omawianych środowiskach sprzętowych. są mechanizmy i techniki programowania z wykorzystaniem narzędzi z różnych klas. Ostatni rozdział Omawiane w książce programy można pobrać na stronie www. zawiera opis wybranych algorytmów z dziedziny algebry liniowej i nieliniowej, w tym także optymalizacji, wraz ze sposobami ich dekompozycji, równoległej imple- Informację podała dr hab. inż. Ewa Niewiadomska-Szynkiewicz, Dyrektor ds. Naukowych NASK B I U L E T Y N NASK 5

6 Szkolenia, edukacja, popularyzacja Akademia NASK Akademia NASK jest nowo powstałym działem, który odpowiada za tworzenie oraz realizację działalności szkoleniowej, edukacyjnej oraz popularyzatorskiej. Kieruje nim Agnieszka Wrońska. W skład działu wchodzą dwa zespoły: Zespół Reagowania na Nielegalne Treści w Internecie Dyżurnet.pl (kierownik Marek Dudek), prowadzony w ramach programu europejskiego Safer Internet oraz Zespół Szkoleń i Edukacji (kierownik Anna Rywczyńska). Zespół Dyżurnet monitoruje i dba o usuwanie nielegalnych treści znajdujących się w sieci, które są skierowane przeciwko bezpieczeństwu dzieci, a także innych, niezgodnych z przepisami polskiego prawa, m.in. dotyczących ksenofobii i rasizmu. Prowadzi także działalność na rzecz podwyższania poziomu bezpieczeństwa w Internecie. Do głównych zadań Zespołu Szkoleń i Edukacji należy tworzenie programów oraz realizacja szkoleń i kursów bazujących na wiedzy ekspertów pracujących w NASK. Zespół ten organizuje również przedsięwzięcia we współpracy z partnerami zewnętrznymi. Jednym z istotnych obszarów jego aktywności są działania non-profit realizowane m.in. w ramach programu Komisji Europejskiej Safer Internet prowadzonego przez NASK już od 2005 roku. Zespół tworzy także nowe programy edukacyjne obejmujące obszar bezpiecznego korzystania z Internetu, jak również szeroko rozumianej edukacji medialnej. Proponowane szkolenia adresowane są do sektora oświaty nauczycieli, rodziców, opiekunów oraz dzieci i młodzieży. teleinformatycznymi, prowadzenie i utrzymywanie rejestru domen internetowych, metody biometrycznej weryfikacji i identyfikacji tożsamości. Oferta szkoleniowa jest profilowana pod kątem potrzeb i poziomu zaawansowania odbiorców, a zakres tematyczny rozszerzany o nowe zagadnienia. Akademia NASK to również podnoszenie kwalifikacji pracowników. Rozwój kompetencji oraz wymiana doświadczeń wewnątrz organizacji to ważny kierunek jej działalności. W najbliższym czasie planowane jest uruchomienie szkoleniowych programów wewnętrznych, dzięki którym pracujący w NASK specjaliści z różnych dziedzin będą mogli dzielić się swoją wiedzą wewnątrz organizacji. /aw/ NASK w ccnso NASK jako rejestr nazw w domenie.pl został przyjęty do organizacji ccnso (country code Names Supporting Organisation), która jest częścią ICANN i zrzesza wyłącznie prawidłowo umocowane rejestry krajowe z całego świata. Organizacja ccnso kreuje politykę ICANN w zakresie krajowych rejestrów domen najwyższego poziomu (cctld). Decyzje podejmowane przez Radę Dyrektorów ICANN, mające wpływ na funkcjonowanie Internetu, a które mogą dotyczyć cctld (country code Top Level Domains), są konsultowane z członkami ccnso. Zespół Szkoleń i Edukacji Akademii NASK oferuje specjalistyczne szkolenia kierowane do sektora biznesu, administracji publicznej oraz instytucji akademickich. Zakres szkoleń obejmuje wiele obszarów tematycznych, takich jak bezpieczeństwo systemów teleinformatycznych, modelowanie, optymalizacja, sterowanie i zarządzanie sieciami W organizacji zrzeszonych jest obecnie 107 rejestrów z całego świata. Liczba jej członków w ostatnim czasie szybko wzrasta od początku 2010 roku do ccnso przyjęto siedem kolejnych rejestrów. /ap/ 6 B I U L E T Y NNASK

7 Dla młodych internautów WYDARZENIA Festiwal Nauki w NASK W ramach XIV Festiwalu Nauki gościliśmy na prelekcjach i warsztatach uczniów warszawskich szkół podstawowych i gimnazjów. We wrześniowych spotkaniach wzięło udział ponad 200 młodych osób. NASK już od wielu lat aktywnie uczestniczy w Festiwalu Nauki, organizując pokazy, lekcje festiwalowe i warsztaty. W tym roku aż trzy prelekcje dotyczyły istotnych spraw związanych z bezpieczeństwem sieciowym. Zespół Metod Bezpieczeństwa Sieci i Informacji, wchodzący w skład Pionu Naukowego NASK, przygotował dwie prelekcje: Otoczeni przez czujniki dla dzieci oraz Surfuj bezpiecznie! - dla gimnazjalistów. Uczniowie niezwykle aktywnie uczestniczyli w prowadzonych przez naszych młodych naukowców prezentacjach, którzy z zaangażowaniem dzielili się wiedzą na tematy związane z bezpieczeństwem. Natomiast dla najmłodszych internautów zorganizowany został specjalny warsztat o tym, jak bezpiecznie rozpocząć przygodę z Internetem, co jest najważniejszą zasadą bezpieczeństwa, na kogo trzeba uważać i w jaki sposób bronić się przed sieciowymi zagrożeniami. Podczas kolejnych prelekcji grupa gimnazjalistów zdobyła wiedzę o domenach internetowych oraz o zawartości prowadzonego przez NASK portalu Polska.pl. Dzięki multimedialnej prezentacji uczniowie poznali m.in. tajniki działania systemu rejestracji domen i zasady two- Biometria w praktyce Czego oczy nie widzą, to biometria wyjaśni pod takim hasłem odbywały się pokazy zorganizowane przez pracowników Pionu Naukowego NASK dla uczestników tegorocznego Pikniku Naukowego Polskiego Radia i Centrum Nauki Kopernik. Pracownia Biometrii NASK zorganizowała pokazy testowania systemów biometrycznych wraz z Polską Wytwórnią Papierów Wartościowych S.A. W trakcie testów można było stworzyć m.in. wzorzec własnej tęczówki i odcisku palca, a następnie przejść proces weryfikacji. Dodatkowo na stanowisku NASK można było zaznajomić się z procesem automatycznej identyfikacji tożsamości takich cech biometrycznych, jak geometria dłoni czy podpis odręczny. Testy prowadzono w ramach projektu Platforma bezpiecznej implementacji biometrii przy realizacji działań związanych z weryfikacją i identyfikacją tożsamości współfinansowanego przez Ministerstwo Nauki i Szkolnictwa Wyższego, realizowanego w ramach obszaru Bezpieczeństwo wewnętrzne państwa. NASK był również instytucją wspierającą organizację Pikniku, która zapewniła wystawcom bezprzewodową łączność z Internetem. /mb/ rzenia atrakcyjnej nazwy internetowej. Zespół Polska.pl zaprosił młodzież gimnazjalną do twórczych warsztatów na temat różnych dziedzin nauki, jakie można znaleźć w serwisie. Poszczególne grupy uczestników festiwalu odkrywały tajemnice archiwów, starych dokumentów miast polskich, poznawały sekrety przyrody, dzieła wielkich twórców literatury, a także techniczne aspekty działania portalu. /am/ B I U L E T Y N NASK 7

8 Nowości w ofercie usługowej Dla firm z sektora ISP NASK przygotował specjalną ofertę dla firm z sektora ISP w postaci atrakcyjnych cenowo pakietów usług, które pozwalają spełnić wymagania stawiane firmom ISP przez regulatorów i zapewniają bezpieczeństwo rozwiązań oferowanych klientom końcowym. NASK proponuje operatorom wysokiej jakości usługi tranzytu ruchu IP, w tym m.in. pełny tranzyt ruchu IP (ruch krajowy i zagraniczny), tranzyt ruchu krajowego IP, tranzyt ruchu zagranicznego IP oraz tranzyt ruchu zagranicznego IP DE-CIX (połączenie z ponad 200 operatorami w punkcie wymiany ruchu we Frankfurcie). Usługi te są realizowane z wykorzystaniem protokołu BGP (Border Gateway Protocol), a ich parametry gwarantowane umowami SLA (Service Level Agreement). W ofercie dedykowanej nie mogło też zabraknąć telefonii: NASK proponuje providerom SIP trunk, usługę połączenia platformy telefonii IP klienta z platformą NASK za pośrednictwem sieci IP np. w oparciu o tranzyt ruchu IP lub dedykowane dla ruchu głosowego łącze transmisji danych. Operatorom ISP, którzy cenią sobie niezależność oraz planują zwiększenie zakresu działania, NASK proponuje też pomoc w pozyskaniu własnego numeru ASN od organizacji RIPE. Corporate Token Do oferty produktów bezpieczeństwa NASK dołączyła w tym roku usługa Corporate Token, która pozwala na łatwą i szybką implementację mechanizmów silnego uwierzytelniania bez konieczności wdrażania w infrastrukturze firmy serwera uwierzytelniającego. Corporate Token wykorzystuje produkty renomowanego międzynarodowego dostawcy EMC/RSA Security. Rozwiązanie powstało na bazie tokenów SecurID zapewniających wiarygodne uwierzytelnienie użytkownika wykorzystujące dwa elementy: PIN-kod i zmienną część jednorazowego hasła. W ramach usługi NASK dzierżawi klientom generatory części zmiennej hasła tokeny EMC/RSA Security SID-700. W ramach pakietów z atrakcyjnymi rabatami NASK oferuje kwalifikowane reagowanie na incydenty unikatowe usługi związane z reagowaniem na przypadki naruszenia bezpieczeństwa teleinformatycznego. Zostały one opracowane specjalnie na potrzeby firm ISP z uwzględnieniem wymagań specyficznych dla providerów oraz charakteru ich działalności. Dodatkowo również w ramach pakietów NASK jako ekspert w dziedzinie bezpieczeństwa teleinformatycznego poleca usługę backupu online. Jest ona skierowana do klientów, którzy dbają o ochronę i dostępność swoich danych oraz spełnienie wymagań regulacyjnych. Przedsiębiorcy zainteresowani taką formą współpracy mogą przystąpić do programu partnerskiego dla firm pośredniczących w sprzedaży usług NASK. /jł/ Usługa Corporate Token świadczona jest w modelu Managed Security Services pełnego outsourcingu infrastruktury uwierzytelniającej zlokalizowanej w centrum danych NASK. Bazą usługi jest wdrożony w NASK klaster niezawodnościowy zbudowany z serwerów uwierzytelniających EMC/RSA Security Authentication Manager. Jego wieloprocesowa architektura pozwala na obsługę ogromnej liczby użytkowników na pojedynczym serwerze oraz setek jednoczesnych żądań uwierzytelnienia. Corporate Token zapewnia klientom łatwą i szybką implementację mechanizmów silnego uwierzytelniania bez konieczności wdrażania w swojej infrastrukturze serwera uwierzytelniającego. Gwarantuje również utrzymanie systemu przez NASK oraz zapewnia panel administracyjny pozwalający na zarządzanie kontami użytkowników. /jł/ 8 B I U L E T Y NNASK

9 Sukcesy zespołu reagowania WYDARZENIA Rozwiązanie klasy operatorskiej CERT Polska liderem Portfolio usług transmisji danych NASK zostało wzbogacone o nową usługę E-Line. Przeznaczona jest ona głównie dla operatorów telekomunikacyjnych i firm outsourcingowych, którym zależy na bezpiecznej, elastycznej i nowoczesnej infrastrukturze sieciowej. E-Line to wysokiej klasy profesjonalna usługa transmisji danych punkt-punkt w protokole Ethernet (EPL, EVPL). Wyróżniają ją między innymi: możliwość konfiguracji trybu Q-in-Q, monitoringu łącza end-to-end w protokole Ethernet oraz tak ważne dla klientów stałe parametry jakościowe transmisji danych. Ponadto oferowane przez NASK E-line ma bardzo szeroki zakres potencjalnych zastosowań. Sprawdza się jako połączenie dwóch fizycznie odległych sieci lokalnych LAN i jako element infrastruktury do realizacji prywatnej telefonii VoIP. Ponadto można stosować ją jako sieć podkładową do budowy rozległej sieci IP/MPLS czy do zestawiania dedykowanych kanałów transmisyjnych na potrzeby łączenia systemów informatycznych. rozwiązanie dzięki zastosowaniu zarządzalnych urządzeń Ethernet Demarcation Device pozwala na jednoznaczne rozgraniczenie sieci rozległej Ethernet NASK i sieci LAN klienta oraz zdalny monitoring usługi w protokole Ethernet. Usługa E-Line jest następcą usług dzierżawy kanałów cyfrowych w sieciach PDH/ SDH oraz połączeń CES (Circuit Emulation Service) w sieciach ATM, w których tworzeniu NASK jest pionierem w skali kraju. Działający przy NASK zespół CERT Polska jest obecnie światowym liderem w dziedzinie reagowania na zagrożenia bezpieczeństwa w sieci. W tegorocznym raporcie na temat stanu cyberbezpieczeństwa w Europie przedstawionym przed brytyjską Izbą Lordów CERT Polska został wskazany jako wzorcowy przykład dla nowo powstających zespołów o tym charakterze. CERT Polska wniósł znaczący wkład merytoryczny w program międzynarodowej konferencji FIRST, która odbyła się w czerwcu br. w Miami. Organizatorem tego dorocznego wydarzenia jest FIRST (Forum for Incident Response and Security Teams). Organizacja ta zrzesza ponad 200 zespołów z sześciu kontynentów działających przy uczelniach i rządach wielu państw w sektorze bankowym i w wielkich korporacjach (CERT Polska jest członkiem FIRST od 1997 r.). Podczas konferencji wiele miejsca poświęcono tematom związanym z bezpieczeństwem i prywatnością w systemach cloud computing. Omawiano kwestie ataków dedykowanych, zaprezentowane zostały również przykłady rozwiązań organizacyjnych i technicznych związanych z bezpieczeństwem i reagowaniem na incydenty. Projekt WOMBAT wraz z demonstracją API został także przedstawiony na towarzyszącym konferencji FIRST spotkaniu zespołów narodowych. Od kilku lat spotkania te organizuje ośrodek koordynacyjny zespołów reagowania CERT/CC. Członkowie zespołu podczas konferencji wygłosili szereg wykładów i prezentacji dotyczących projektów badawczo- -rozwojowych prowadzonych w związku ze wzrostem zagrożeń bezpieczeństwa w Internecie, współpracy i samoregulacji polskich dostawców usług internetowych w zakresie zwalczania przestępczości online oraz międzynarodowych projektów FISHA i WOMBAT, w których CERT Polska uczestniczy. /jł/ /pj, am/ B I U L E T Y N NASK 9

10 WYDARZENIA W świecie Internetu Jak bezpiecznie surfować Już po raz czwarty w Warszawie odbyła się międzynarodowa konferencja poświęcona bezpiecznemu wykorzystywaniu Internetu i nowych mediów przez dzieci i młodzież. Tematem wiodącym tegorocznej edycji było bezpieczeństwo użytkowników w serwisach społecznościowych oraz zagadnienia ochrony prywatności online. Organizatorem konferencji jest Polskie Centrum Programu Safer Internet prowadzone przez Naukową i Akademicką Sieć Komputerową (NASK) i Fundację Dzieci Niczyje (FDN) oraz klicksafe organizacja wprowadzająca w życie podobny program na terenie Niemiec. Konferencja odbywa się każdego roku w ramach programu Komisji Europejskiej Safer Internet. W tym roku poparcia udzieliła jej Neelie Kroes, wiceprzewodnicząca Komisji Europejskiej i komisarz europejska ds. agendy cyfrowej. Głównym partnerem wydarzenia była Fundacja Orange. Marcin Bochenek, Zastępca Dyrektora NASK ds. Projektów Strategicznych otwiera konferencję Konferencję zaadresowaliśmy przede wszystkim do przedstawicieli sektora edukacyjnego, organizacji pozarządowych, instytucji wymiaru sprawiedliwości i organów ścigania oraz dostawców usług i treści internetowych. Większość uczestników konferencji to osoby zaangażowane w działania na rzecz bezpieczeństwa online w swoich lokalnych społecznościach. Zdobytą podczas konferencji wiedzę wykorzystują podczas szkoleń, zajęć z dziećmi, organizacji lokalnych wydarzeń i kampanii. Ta aktywność jest szczególnie zauważalna podczas corocznych obchodów Dnia Bezpiecznego Internetu relacjonuje Agnieszka Wrzesień z FDN, przewodnicząca konferencji. Głos zabiera Richard Swetenham, przedstawiciel Komisji Europejskiej W ciągu dwóch dni ponad 500 delegatów z 30 państw dyskutowało o bezpieczeństwie dzieci i młodzieży w Internecie. Uczestnicy wzięli udział w specjalistycznych sesjach prowadzonych przez uznanych ekspertów z Polski i zagranicy, którzy zaprezentowali szereg innowacyjnych działań edukacyjnych podejmowanych w celu 10 B I U L E T Y N NASK

11 Eksperci o szkodliwych treściach ochrony najmłodszych w wirtualnym świecie dodaje Anna Rywczyńska z NASK, wiceprzewodnicząca konferencji. Nie sposób wymienić wszystkich prezentacji, które odbywały się podczas sesji plenarnych i sesji równoległych. Ważnym punktem programu było wystąpienie Richarda Swetenhama z Komisji Europejskiej, który przedstawił założenia Porozumienia dotyczącego samoregulacji w zakresie bezpieczeństwa w portalach społecznościowych, podpisanego ponad półtora roku temu. Podczas konferencji można było ocenić, w jaki sposób zapisy dokumentu były wdrażane przez czołowe portale społecznościowe, takie jak nk.pl czy Stardoll.com. John Carr z enacso (Wielka Brytania) podjął temat zagrożeń płynących z portali społecznościowych, zajął się także potencjalnym niebezpieczeństwem, które grozi użytkownikom systemów lokacyjnych w telefonach komórkowych. Helen Whittle z CEOP (Wielka Brytania) i Birgit Echtler z pro familia Bayern (Niemcy) podjęły temat wpływu nowych mediów na seksualizację młodych ludzi i związane z tym zagrożenia. Prelegenci z Rumunii i Finlandii opowiedzieli o angażowaniu dzieci w projekty edukacyjne oraz o tym, jak dużą rolę w kształtowaniu odpowiedzialnych postaw online odgrywa edukacja rówieśnicza. Specjaliści z Fundacji Dzieci Niczyje zaprezentowali m.in. nowe kursy e-learningu dla dzieci i profesjonalistów oraz bezpieczną przeglądarkę internetową dla dzieci BeSt. Jedną z kwestii dyskutowanych podczas tegorocznej konferencji były Polskie Centrum Programu Safer Internet powołane zostało w 2005 r. w ramach programu Komisji Europejskiej Safer Internet. Tworzą je Fundacja Dzieci Niczyje oraz Naukowa i Akademicka Sieć Komputerowa koordynator Centrum. Centrum podejmuje szereg kompleksowych działań edukacyjnych na rzecz bezpieczeństwa dzieci i młodzieży korzystających z Internetu i nowych technologii. W ramach Centrum działają również zespoły: Dyżurnet.pl - polski punkt ds. zwalczania nielegalnych treści w Internecie oraz Helpline.org.pl - punkt pomocy dla dzieci, rodziców i profesjonalistów w przypadkach zagrożeń w Internecie. Więcej informacji o programie w Polsce: Uczestnicy konferencji również standardy stron kierowanych do dzieci swoimi doświadczeniami podzielili się twórcy stron dziecięcych, takich jak Ciufcia.pl, Jojo.pl i słowacka Ovce.sk. O tym, jak projektować strony internetowe dla dzieci niewidomych i niedowidzących, opowiedział z kolei przedstawiciel Fundacji Widzialni. Przedstawicieli wymiaru sprawiedliwości i organów ścigania szczególnie zainteresować mogły wystąpienia dotyczące treści szkodliwych, które do tej pory nie doczekały się jeszcze penalizacji w polskim prawie. Organizatorzy konferencji wraz z przedstawicielem policji opowiedzieli także o przebiegu i efektach niedawno przeprowadzonej kampanii społecznej Każdy ruch w Internecie zostawia ślad. Honorowy patronat nad konferencją objęli: prof. Barbara Kudrycka - Minister Nauki i Szkolnictwa Wyższego, Katarzyna Hall - Minister Edukacji Narodowej, Krzysztof Kwiatkowski - Minister Sprawiedliwości, Anna Streżyńska - Prezes Urzędu Komunikacji Elektronicznej, Jerzy Miller - Minister Spraw Wewnętrznych i Administracji. /ar, jg/ B I U L E T Y N NASK 11

12 WYDARZENIA Rejestracje w świetle statystyk KATARZYNA SOBCZYK Polska domenowa Dane dotyczące utrzymania zachodniopomorskie 4,63% lubuskie 2,56% nazw domen w poszczególnych częściach kraju wykazują ścisłą zależność pomiędzy liczbą domen a poziomem rozwoju społeczno-gospodarczego dolnośląskie 7,90% danego regionu. pomorskie 6,08% wielkopolskie 8,26% kujawsko- -pomorskie 3,99% łódzkie 5,20% opolskie 1,68% śląskie 10,50% warmińsko-mazurskie 2,42% mazowieckie 27,15% w tym Warszawa 19,15% świętokrzyskie 1,32% małopolskie 9,80% NASK utrzymuje już 1,84 miliona nazw domeny.pl, z czego prawie 1,76 miliona stanowią nazwy domeny, do których przypisane są krajowe dane adresowe. Na początku sierpnia bieżącego roku NASK dokonał analizy liczby zarejestrowanych nazw domeny.pl w poszczególnych województwach i powiatach Polski.* Poniższa mapa ukazuje procentowy podział utrzymywanych polskich nazw domeny w 16 województwach. Wyniki analizy pokazują, że najwięcej nazw domeny.pl zarejestrowanych jest w województwie mazowieckim 27,15 proc., a następnie w śląskim 10,50 proc., małopolskim 9,80 proc., wielkopolskim 8,26 proc. i dolnośląskim 7,90 proc. Najmniej, czyli poniżej 2 proc. utrzymywanych nazw domeny.pl odnotowano w województwie opolskim 1,68 proc. i województwie świętokrzyskim 1,32 proc. podlaskie 2,23% lubelskie 3,27% podkarpackie 3,00% Sytuacja w poszczególnych powiatach jest bardzo zróżnicowana, zależy głównie od gęstości zaludnienia oraz rozwoju gospodarczego. Najwięcej nazw domeny rejestrowanych jest w miastach na prawach powiatu. Udział powyżej 1 proc. odnotowano w 13 dużych miastach Polski. Prym wiedzie Warszawa, gdzie zarejestrowanych jest 19,15 proc. nazw domeny.pl. Na następnych miejscach plasują się: Kraków 5,37 proc., Wrocław 4,26 proc. i Poznań 3,57 proc. Obecnie w 205 powiatach utrzymywanych jest poniżej 0,1 proc. nazw domeny. Najmniejszy udział 0,01 proc. ma powiat grudziądzki w województwie kujawsko-pomorskim. % rejestracji domen.pl w województwach < >70 * Dane z pierwszej połowy sierpnia br. Autorka jest kierownikiem Zespołu Rozwoju Programu Partnerskiego DNS w NASK 12 B I U L E T Y N NASK

13 Budowa sieci klienckich USŁUGI MICHAŁ ROTNICKI Ethernetowa rewolucja Technologia połączeń sieciowych Ethernet to w świecie nowoczesnych technik telekomunikacyjnych i informatycznych swego rodzaju relikt, żeby nie powiedzieć dinozaur. A jednak mimo ciągłego poszukiwania nowych rozwiązań dla transmisji danych oparła się ona upływowi czasu i nadal jest jedną z najbardziej dynamicznie rozwijanych technik sieciowych. Rewolucji nie robi się ani nie zatrzymuje dobrowolnie Napoleon Bonaparte Technika Ethernet została opracowana w roku 1976 (czyli już 34 lata temu) w ośrodku badawczym XEROX PARC przez Roberta Metcalfe a z myślą o realizacji połączeń na krótkich odcinkach pomiędzy niewielkimi liczbami komputerów. Od tego momentu Ethernet rozpoczął swój podbój świata sieci lokalnych, udowadniając, że jest najprostszą i najbardziej użyteczną techniką budowy sieci LAN. Niedługo potem zaczęły pojawiać się (i znikać) kolejne techniki wspierane przez gigantów branży jak choćby Token Ring opracowany przez firmę IBM. O większości konkurencyjnych rozwiązań nikt już nie pamięta, a sieci Ethernet wciąż używamy w każdym niemal biurze i domu. Proste rozwiązania Można przypuszczać, że powszechność technologii Ethernet wynika z jej ogromnej użyteczności. Wystarczy pospinać komputery kablami, dołożyć switche i sieć zaczyna działać. Trochę lepiej lub trochę gorzej, ale w pierwszym ruchu nic więcej robić nie trzeba. Jakie są ograniczenia tego rozwiązania? Powszechnie zakładano, że tak zbudowana sieć LAN przestanie poprawnie działać, jeśli jej wysycenie zbliży się do około 70 proc. Jednocześnie rozwój technik przesyłu danych w rozległych sieciach telekomunikacyjnych szedł zupełnie inną ścieżką skupiano się na projektowaniu i budowie sieci zapewniających wysoką jakość transmisji. Operatorzy telekomunikacyjni zbudowali sieci SDH/SONET, które umożliwiają realizację kanałów doskonale przenoszących bity na największe odległości, pojawiły się też rozwiązania mieszane Nowoczesna implementacja technologii Ethernet umożliwia zastosowanie nowych sposobów transmisji danych, takich jak oferowane przez NASK usługi E-Line i Metro VPN. B I U L E T Y N NASK 13

14 Realizacja połączeń Ethernet sieci FR/ATM, w których przełączano pakiety ale ich minusem było to, że nadal trzeba było ściśle definiować wirtualne kanały, które łączyły określone punkty sieci (VC). Dwa światy z jednej strony techniki stosowane przez administratorów sieci LAN, z drugiej zaś sieci WAN musiały się w końcu spotkać. Wszak liczba kłopotliwych dla telekomów pytań w stylu Czy pomiędzy oddziałami mojej firmy można zestawić sieć Ethernet, która połączy moje sieci LAN? wciąż rosła. Były to pytania o tyle istotne, że dostarczenie połączenia Ethernet (Layer-2) przezroczyście przenoszącego protokoły warstwy trzeciej (takie jak IP, IPX i inne) pozwoliłoby administratorom: samodzielnie administrować routerami obsługującymi protokoły warstwy trzeciej (IP, IPX), kupować usługę prostszą, a przez to tańszą, realizować połączenia pomię- dzy wieloma lokalizacjami tak jak to się dzieje w sieci LAN łączącej wiele komputerów. Nowe propozycje Prośbom klientów trudno się oprzeć, więc przez ostatnie 10 lat operatorzy telekomunikacyjni stosowali wiele karkołomnych sztuczek, aby za pomocą technologii, które mieli już wdrożone w swoich sieciach, dostarczyć usługę transmisji ramek Ethernet, o których marzyli ich klienci. W ten sposób powstały takie rozwiązania, jak Ethernet over SDH (czyli zestawienie pomiędzy dwoma punktami łącza E1) czy konwersja styku abonenckiego na protokół Ethernet. Jednocześnie około roku 2002 ruszyły prace standaryzacyjne mające na celu przystosowanie techniki Ethernet (służącej początkowo do obsługi jednego biura) do potrzeb budowy profesjonalnych sieci rozległych świadczących usługi dla tysięcy klientów. W efekcie, w sposób całkowicie nieoczekiwany, ale jak najbardziej unormowany i ustandaryzowany, operatorzy telekomunikacyjni zaczęli świadczyć usługi połączeń Ethernet punkt-punkt i punkt-wielopunkt. Dlaczego w sposób nieoczekiwany? Bo do realizacji połączeń Ethernet zaprzęgnięto w sieciach operatorskich technikę MPLS znaną wcześniej z realizacji połączeń VPN w warstwie trzeciej (IP VPN) i służącą dotychczas do przesyłania pakietów IP. Od strony klienta pojawiły się urządzenia z dowolnym (elektrycznym lub optycznym) interfejsem Ethernet. Natomiast operatorzy w swojej sieci rozległej zaczęli wykorzystywać do przełączania ruchu klienckiego dodawane przez siebie etykiety MPLS, dzięki czemu nie ingerują w nagłówki ramek Ethernet. Pozwala to klientom na korzystanie z pełnej funkcjonalności protokołu Ethernet mogą oni więc na przykład konfigurować VLAN-y w sposób całkowicie niezależny od operatora telekomunikacyjnego. Jednocześnie udało się rozwiązać kolejny kłopot: jak ustalić granicę pomiędzy siecią Ethernet LAN a siecią Ethernet WAN. Pojawiły się urządzenia określane jako ethernetowy punkt demarkacyjny (Ethernet Demarcation Device), które umożliwiają operatorom telekomunikacyjnym pełną kontrolę swoich usług end-to-end oraz co najważniejsze monitoring parametrów SLA, takich jak: dostępność usługi, opóźnienie ramek, fluktuacja opóźnienia ramek, utrata ramek. Przykładową implementacją tego typu nowoczesnych usług transmisji w technologii Ethernet dla klientów biznesowych są dwie usługi oferowane przez NASK pioniera sieci VPN w Polsce. Pierwsza z nich to usługa E-Line, która umożliwia zestawianie połączeń punkt-punkt i jest realizowana w sieci szkieletowej NASK z wykorzystaniem techniki MPLS i routerów Juniper (RFC 4906). Operator udostępnia swoim klientom usługę E-Line w trybie Q-in-Q, dzięki czemu mogą oni samodzielnie definiować aż do 4095 VLAN-ów. Jednocześnie każde zakończenie łącza E-Line jest wyposażone w zarządzane przez NASK urządzenie Ethernet Demarcation Device. Takie rozwiązanie pozwala na monitoring parametrów dostępności usługi, a tym samym na zapewnienie klientom jej wysokiej jakości. Drugim przykładem implementacji technologii Ethernet jest usługa Metro VPN, która rozwijana jest przez NASK nieprzerwanie od roku Umożliwia ona realizację połączeń Ethernet pomiędzy wieloma lokalizacjami, zapewniając komunikację każdy z każdym. Podobnie 14 B I U L E T Y N NASK

15 Łatwość obsługi Wirtualny tunel (L2Circuit) Ramka Ethernet Użytkownika A Etykiety MPLS Użytkownik A LAN-1 Użytkownik A LAN-1 Punkt demarkacyjny Ethernet Sieć MPLS Operatora telekomunikacyjnego Rys. 1. Przykład tunelowania w sieci IP/MPLS kanału VC (L2Circuit) z ruchem klienta jak w usłudze E-Line, tak i tu możliwe jest samodzielne konfigurowanie VLAN przez klientów (tryb Q-in-Q), a każde zakończenie łącza abonenckiego jest wyposażane w ethernetowy punkt demarkacyjny służący do kontroli dostępności usługi i parametrów jakościowych transmisji. Protokół Ethernet łatwy w podstawowej obsłudze i przyjazny dla administratorów sieci nadal żyje i ma się dobrze mimo swoich 34 lat. Operatorzy telekomunikacyjni nauczyli się wykorzystywać jego zalety i niwelować mankamenty, choćby dzięki zastosowaniu nowych rozwiązań bazujących na MPLS. Technologia Ethernet to obecnie jeden z najgorętszych tematów. Już dzisiaj widać, że warto zastanowić się nad zastosowaniem rozwiązań Ethernet do budowy połączeń wewnątrzfirmowych, bo przed nami co najmniej 34 lata rozwoju. I kolejne, coraz bardziej wyrafinowane wcielenia tego protokołu sieciowego. Autor jest menedżerem produktów Sieci Korporacyjne w NASK Ramka Ethernet Użytkownika A Etykieta MPLS VPN Użytkownika A (Virtual Private LAN Service) Użytkownik A LAN-1 Użytkownik A LAN-1 VPLS Użytkownika A Użytkownik A LAN-1 Punkt demarkacyjny Ethernet Sieć MPLS Operatora telekomunikacyjnego Użytkownik A LAN-1 Rys. 2. Schemat sieci łączącej wiele oddziałów i zapewniającej komunikację każdy z każdym dla protokołu Ethernet (VPLS) B I U L E T Y N NASK 15

16 BEZPIECZEŃSTWO Gromadzenie i opracowywanie danych PAWEŁ JACEWICZ Śledzenie zagrożeń w sieci WOMBAT (Worldwide Observatory of Malicious Behaviors and Attack Threats) to Światowe Obserwatorium Złośliwych Zachowań i Zagrożeń. Jego celem jest stworzenie nowatorskich metod analizy nowych zagrożeń pojawiających się w sieci Internet. Projekt szczególny nacisk kładzie na identyfikację przyczyn występowania zagrożeń oraz możliwe powiązania między nimi. System, gromadząc dane z wielu źródeł, ma na celu stworzenie bazy danych, których analiza umożliwi identyfikację charakterystyk obserwowanych zagrożeń. Heterogeniczność źródeł danych umożliwi gruntowną analizę informacji o zagrożeniach w znacznie szerszej perspektywie niż mogły to zapewnić istniejące dotychczas systemy. Uzyskane w ten sposób wyniki posłużą do rozwinięcia technik typu threat intelligence (śledzenie zagrożeń), których głównym celem jest klasyfikacja grup zagrożeń oraz ustalenie ich cech wspólnych. Pozwoli to na szybszą identyfikację starszych typów, które ponownie stały się aktywne oraz pomoże w przewidywaniu nowych na podstawie zaobserwowanych trendów. Wykrywanie złośliwej działalności HoneySpider Network jest jednym ze źródeł danych w ramach projektu WOMBAT. Należy on do klasy hybrydowych honeypotów klienckich. Narzędzia tego typu służą do wykrywania i analizy złośliwego oprogramowania, które propaguje się w sposób bierny głównie przez skompromitowane serwisy www. Tworzy on system, który integruje wysoko oraz nisko interaktywne klienckie honeypoty, zapewniając tym samym wysoki poziom gwarancji wykrywania nawet tych ataków, które wcześniej nie były obserwowane. Wydajność systemu honeypotów, który potrafi sklasyfikować dziesiątki tysięcy stron www dziennie, jest podstawowym atutem z perspektywy ilości informacji, jaką może dostarczyć do projektu WOMBAT. HoneySpider Network jest narzędziem, którego celem jest określenie zagrożenia, jakie niesie ze sobą 16 B I U L E T Y N NASK

17 Narzędzia klasyfikacji wanie, które pozwoli w pełni wykorzystać informacje dostępne w bazie danych projektu. Rozwija się ono niezależnie od projektu HoneySpider Network z założeniem, że będzie wykorzystywane przez specjalistów z dziedziny bezpieczeństwa IT, co pozwala na dostosowanie go do unikalnych potrzeb, jakimi odznaczają się zespoły reagowania na incydenty. W swej obecnej formie prototyp narzędzia przedstawia różnego rodzaju powiązania pomiędzy zaobserwowanymi złośliwymi stronami www. Poza siatką przekierowań prowadzącą do serwerów dystrybuujących złośliwe oprogramowanie narzędzie będzie umożliwiać zbudowanie grafów zależności na bazie informacji kontekstowych dostępnych w opisie każdego przeskanowanego adresu URL. Możliwe do przedstawienia będą np. zależności oparte na informacjach o geolokalizacji każdego z serwerów w ścieżce przekierowań, która prowadzi do infekcji komputerów. Wzbogacone dodatkowo o charakterystyki, takie jak pule wykorzystywanych adresów IP i wersje skompromitowanego oprogramowania pozwolą jednoznacznie wykryć źródła ataków i pomóc w ograniczeniu ich zasięgu. W przypadku, gdy usunięcie niebezpieczeństwa nie jest Aplikacja do wizualizacji zależności pomiędzy przeskanowanymi stronami www odwiedzenie danego adresu URL. Poza samą klasyfikacją strony www system gromadzi także szereg dodatkowych informacji. Tworzą one kontekst, który jest niezmiernie ważny w określaniu źródła niebezpieczeństwa, a także roli, jaką odgrywa skompromitowana strona www w scenariuszu ataku oraz potencjalnych grup przestępczych, które mogą za atak odpowiadać. Celem wykorzystania systemu HoneySpider Network w projekcie WOMBAT jest odkrywanie zależności pomiędzy skompromitowanymi serwerami www oraz serwerami dystrybuującymi złośliwe oprogramowanie. Określenie sieci powiązań pozwoli na natychmiastową reakcję w przypadku pojawienia się nowego zagrożenia oraz jego efektywniejsze usunięcie. Oprogramowanie wizualizujące W celu lepszej analizy danych gromadzonych przez system HoneySpider Network tworzone jest oprogramo- możliwe, informacje o celu ataku są niezmiernie ważne, aby podjąć kroki w celu zaalarmowania odpowiednich grup użytkowników o potencjalnym niebezpieczeństwie. Mogą w tym pomóc informacje takie, jak symulowana wersja przeglądarki i źródło, z jakiego uzyskaliśmy adres URL do przeskanowania. Gromadzenie informacji W czasie procesu klasyfikacji HoneySpider Network gromadzi podstawowe informacje o rodzaju złośliwego oprogramowania, które jest rozpowszechniane oraz typie podatności, jaka była wykorzystana w celu infekcji. Informacje tego typu są uzyskiwane za pomocą zewnętrznych serwisów i zapisywane także jako kontekst, w jakim została prze- B I U L E T Y N NASK 17

18 Analiza złośliwego oprogramowania prowadzona klasyfikacja. W swej wersji finalnej narzędzie będzie prezentować te oraz szereg innych zależności, by w ostatecznej fazie projektu WOMBAT posłużyć jako jedna z metod identyfikacji grup przestępczych odpowiedzialnych za pojawienie się zagrożenia. Wszystkie z wymienionych oraz wiele dodatkowych danych są gromadzone w specjalnie do tego celu zaprojektowanej bazie, co umożliwi późniejszą gruntowną analizę. Przechowywane są w sposób umożliwiający śledzenie zmian, jakie zachodziły od czasu pierwszego wykrycia zagrożenia związanego z daną witryną www. Tego typu informacje są niezmiernie przydatne w określaniu kierunku rozwoju zagrożeń i odkrywaniu powiązań pomiędzy sposobami propagacji, typem złośliwego oprogramowania oraz grupami przestępczymi odpowiedzialnymi za jego rozpowszechnianie. Ocena poziomu zagrożeń Dokładne określenie typu zagrożenia i grupy odpowiedzialnej za jego powstanie wymaga współpracy wszystkich partnerów projektu. Narzędzie do wizualizacji w stanie obecnym (prototyp) obsługuje jedynie projekt HoneySpider Network jako główne źródło danych. W wersji finalnej narzędzie będzie gromadzić informacje z wielu niezależnych od siebie źródeł i umożliwiać ich korelację oraz przedstawienie w spójny i łatwy do analizy przez operatora sposób. Jest to niezmiernie ważne w szybkim oszacowaniu poziomu zagrożenia oraz podjęciu właściwych kroków w celu jego usunięcia lub ograniczenia. Podsumowanie Projekt WOMBAT jest odpowiedzią na realne zagrożenia, z jakimi na co dzień borykają się specjaliści zajmujący się bezpieczeństwem IT. Narzędzia, jakie powstają w jego ramach, mają na celu ułatwienie i podniesienie efektywności ich pracy, co w efekcie doprowadzi do aktywnego przeciwdziałania nowym typom ataków. Zespoły specjalistów opracowują nowe narzędzia oraz sposoby przewidywania źródeł ataków, by móc w efektywny sposób im przeciwdziałać i podnosić poziom bezpieczeństwa wszystkich użytkowników Internetu. Źródła: Opis projektów na stronie CERT Polska: Strona projektu HoneySpider Network: Strona projektu WOMBAT: Autor pracuje w NASK w Dziale CERT Polska Obserwując adresy stron internetowych, coraz częściej można zauważyć podejmowanie różnych prób uporządkowania danych na tych stronach zawartych. Jedno z takich działań można rozpoznać po obecności dodatkowej kropki w adresie strony internetowej. Dla lepszego zilustrowania przeglądając stronę pod przykładowym adresem w pewnym momencie spostrzegamy, że po jednym z kliknięć adres wyświetlony w przeglądarce wygląda następująco: Stale zwiększająca się liczba informacji w Internecie oraz potrzeba pewnej indywidualizacji w zakresie dostępu do danych w globalnej sieci powoduje, że coraz częściej ową dodatkową kropkę uzyskują adresy stron internetowych związane np. z wydzieloną tematycznie częścią danego serwisu, miejscowością promowaną w ramach danego regionu albo konkretną osobą spośród szerszego grona prezentującego się w ramach strony internetowej. Wiele podmiotów dostrzegło także możliwość 18 B I U L E T Y N NASK

19 Analiza prawna DOMENY KONRAD MARZĘCKI Uaktywnienie subdomen komercyjnego wykorzystania potencjału wskazanych powyżej działań. Czym właściwie jest owo wydzielenie? Jaki jest jego charakter faktyczny i prawny? W strefie.pl Kluczową kwestią dla problemów poruszanych w niniejszym artykule jest możliwość tworzenia subdomen w strefie.pl. Jeżeli chodzi o subdomeny w domenie pierwszego poziomu (podobnie dla wybranych domen drugiego poziomu wskazanych na stronie np. com.pl, org.pl itd.), tworzenie jest możliwe oczywiście przez zarejestrowanie takiej nazwy domeny w Naukowej i Akademickiej Sieci Komputerowej (NASK) poprzez zawarcie stosownej umowy o rejestrację i utrzymywanie nazwy domeny. Dla wszystkich pozostałych domen w strefie.pl tworzenie subdomeny jest możliwe nie poprzez, lecz w wyniku zawarcia takiej umowy, to znaczy możliwość utworzenia subdomeny będzie posiadać abonent nazwy domeny, dla której tworzona jest taka subdomena. Dla potrzeb niniejszego artykułu określenie subdomena będzie używane dla oznaczania subdomen, o których mowa w poprzednim zdaniu. W praktyce abonenci tworzą subdomeny na własne potrzeby, np. w celu tematycznego wyodrębnienia części serwisu prowadzonego w ramach stron internetowych (np. sklep.uvwxyz.pl) lub umożliwiają takie tworzenie innym podmiotom dla różnych celów (np. nazwisko.uvwxyz.pl, miejsc owość.region.uvwxyz.pl). W tym drugim wypadku umożliwianie tworzenia subdomeny może odbywać się nieodpłatnie (np. w serwisach społecznościowych) albo odpłatnie. Abonenci nazw domen coraz częściej oferują możliwość sprzedaży subdomeny, wskazując na możliwość utworzenia i korzystania z subdomeny w domenie, która jest utrzymywana na ich rzecz przez NASK. Warto zastanowić się, czy w wypadku tak nazwanego stosunku prawnego można odwoływać się do przepisów dotyczących sprzedaży. Stosownie do treści art. 535 ustawy z dnia 23 kwietnia 1964 r. kodeks cywilny (Dz. U. nr 16, poz. 63) przez umowę sprzedaży sprzedawca zobowiązuje się przenieść na kupującego własność rzeczy i wydać mu rzecz, Mnogość informacji dostępnych w Internecie wymaga intuicyjnego poruszania się w obrębie jego zasobów i porządkowania danych zawartych na stronach www. Jest to możliwe dzięki hierarchii domen internetowych. B I U L E T Y N NASK 19

20 Korzyści i zagrożenia a kupujący zobowiązuje się rzecz odebrać i zapłacić sprzedawcy cenę. Jako rzecz należy rozumieć, zgodnie z art. 45 kodeksu cywilnego, jedynie przedmiot materialny. Nie ma wątpliwości, że subdomena, podobnie jak domena, nie jest przedmiotem materialnym, a zatem nie jest rzeczą. Konieczne w tym momencie wydaje się wskazanie, że abonent rejestrując nazwę domeny.pl, nabywa względne (skuteczne jedynie wobec NASK), wynikające z umowy prawa do żądania utrzymywania nazwy domeny i w związku z tym uzyskuje możliwość faktycznej wyłączności korzystania z tak zarejestrowanej nazwy domeny, co wynika bezpośrednio z uwarunkowań technicznych sieci Internet. W ten sposób abonent nazwy domeny uzyskuje jednocześnie możliwość decydowania o tym, czy zostaną utworzone subdomeny. Mamy tu do czynienia z możliwością tworzenia pewnego stanu faktycznego związanego z technicznymi uwarunkowaniami sieci Internet. Należy przy tym zaznaczyć, że abonent będzie posiadał możliwość zapewnienia wskazanego powyżej stanu, o ile (i dopóki) będzie uprawniony do żądania utrzymywania zarejestrowanej w NASK nazwy domeny. Oznaczenie nazwy domeny Próbując określić charakter prawny umowy zawieranej przez abonenta nazwy domeny z innym podmiotem w celu utworzenia i utrzymywania subdomeny, należy wskazać, iż abonent powinien zapewnić w takiej sytuacji umożli- wienie użytkownikom Internetu korzystanie z określonych przez taki podmiot danych niezbędnych do komunikacji w Internecie i zamieszczonych w pamięci odpowiedniego urządzenia przeznaczonego do tego celu. Zapytania pochodzące od użytkowników Internetu powinny być zatem kierowane przez takie urządzenie zgodnie z treścią danych, które poda osoba umawiająca się w tym zakresie z abonentem. Wydaje się zatem, że w wypadku zawarcia takiej umowy jej przedmiotem byłoby świadczenie usług przez abonenta, przy czym możliwość ich świadczenia jest ściśle związana z obowiązywaniem umowy z NASK o utrzymywanie nazwy domeny, dla której ma być tworzona subdomena. Zakończenie utrzymywania takiej nazwy domeny przez NASK oznacza brak faktycznej możliwości tworzenia i utrzymywania subdomen dla danej nazwy domeny. Kwestie sporne W nawiązaniu do powyższego należy stwierdzić, że tworzenie subdomen może nieść ze sobą także skutek inny niż wyłącznie porządkowanie informacji dostępnych za pomocą sieci Internet. Z jednej strony istnienie subdomeny jest uzależnione od istnienia domeny macierzystej i podmiot, dla którego abonent utrzymuje subdomenę, jest uzależniony od np. terminowości dokonywania przez tego abonenta opłat z tytułu utrzymywania nazwy domeny, a z drugiej strony abonent umożliwiając innemu podmiotowi korzystanie z subdomeny, może narazić się np. na problemy związane z kwestiami naruszenia przez ten podmiot praw osób trzecich (chociażby kwestia naruszenia praw do znaku towarowego użytego w treści subdomeny). Warto w tym kontekście wspomnieć także o subdomenie www. Przy wskazywaniu nazwy domeny dodanie przedrostka www przed nazwą domeny, np. oznaczać będzie, iż wskazana została subdomena www w nazwie domeny uvwxyz.pl. Nie bez znaczenia jest fakt, że pod adresem domenowym może znajdować się zupełnie inna strona internetowa niż pod adresem uvwxyz.pl. Błędne oznaczenie nazwy domeny może mieć daleko idące konsekwencje, chociażby w wypadku sporu dotyczącego nazwy takiej domeny. W Internecie przepływ danych jest niezwykle szybki i odległość geograficzna nie ma istotnego znaczenia podczas szukania informacji. Tworzenie subdomeny może wpływać na możliwość indywidualnego zaprezentowania się czy też bardziej intuicyjnego poruszania się w globalnej sieci, jednakże trzeba pamiętać, że jednocześnie wzrasta poziom komplikacji samych adresów internetowych. Tym bardziej, że subdomena może stać się domeną dla kolejnej subdomeny, a ta z kolei dla kolejnej subdomeny itd., tworząc w danych okolicznościach złożony system także stosunków prawnych. Autor reprezentuje Dział Prawny NASK 20 B I U L E T Y N NASK